Tracking Mobile Spyware during the Telegram blocking in Iran(Part I)


January 29, 2018

Executive summary

Full forensics report: [PDF]

During the first of week of January 2018, Qurium received numerous reports from Iran concerning a massive distribution of links promoting the download of fake VPN applications. The fake Android mobile applications were distributed by SMS links, taking advantage of the blocking of Telegram in Iran, to deceive users to install the applications.

The first fake application used the name فیلترشکن آمدنیوز (Amadnews Filtershekan) and was hosted in the Amazon Storage, and the second sample impersonated the software “psiphon6” and was initially hosted at Backstory.com cloud service and later on at serverclient12.tk.

Our detailed analysis of the collected samples shows the privacy intrusive capabilities of the fake Android applications and how the attacker(s) behind the fake psiphon6 software can access all personal information on infected devices.

The malware, remotely controlled via the Iranian mobile notification service “pushe.co”, has the ability to snoop the SMS involved in two-factor-authentication. Additionally, the attacker can also gain access to location information and contact details. Based on open source intelligence, we have managed to trace back the source code of the malware to a persona with the name “Amir Parsa Dehfoli”, who is working, or has been working with the Iranian startup company Ad Venture (ad-venture.ir).

During the last week we have shared our findings with the security community including the MAHER/National CERTCC of Iran and we expect to gain a full understanding of who are the actors behind the attacks and their ultimate motivations.


در اولین هفتۀ ماهِ ژانویۀ سال 2018، سازمان کورییِم (Qurium) گزارش‌هایمتعددی از ایران، مبنی بر توزیع گستردۀ پیوندهایی که شامل دانلود اپلیکیشن‌های وی‌پی‌انِ جعلی بودند، دریافت کرد. اپلیکیشن‌های اندرویدِ جعلی که از طریق پیامک پخش شده بودند، با سوء استفاده از مسدود شدن تلگرام، سعی در گمراه کردن کاربران برای نصب این اپلیکیشن‌ها داشتند.

تا جایی که ما می‌دانیم، دو نمونه بدافزارِ متفاوت در هفتۀ اولِ ژانویه پخش شد. اولین اپلیکیشن‌ جعلی “فیلترشکن آمدنیوز” (Amadnews VPN) نام داشت و در حوزۀ آمازون استوریج (Amazon Storage) قرار داشت.  نمونۀ دوم که هویت نرم‌افزار “psiphon6”را جعل کرده بود، ابتدا در سرویس ذخیرۀ مجازیِ Backstory.com و سپس در serverclient12.tk قرار داشت.

تحلیل‌های جزئیِ نمونه‌های جمع‌آوری شده نشان می‌دهد که این اپلیکیشن‌های اندروید توانایی نفوذ به حریم شخصی و دسترسی به تمامی اطلاعات شخصیِ موجود در دستگاه‌های آلوده را، برای حمله‌کنندگانی که پشت نرم‌افزارِ جعلی سایفون6 قرار دارند، فراهم می‌سازند. این بدافزارها از طریق خدماتِ اطلاع‌رسانیِ گوشی‌‌های همراه در ایران، pushe.co، از راه دور کنترل می‌شوند و با دستیابی به فرآیند احراز هویت دو عاملی، قابلیت جاسوسیِ پیامک را دارند. علاوه بر این، حمله کننده می‌تواند به موقعیتِ مکانیِ گوشی و جزئیات تماس‌های آن دسترسی پیدا کند. ردیابیِ کدِ منبعِ بدافزار، با استفاده از منابع اطلاع‌رسانی آزاد، منتهی به شخصی حقیقی به اسم «امیرپارسا ده‌فالی» (Amir Parsa Dehfoli) شد که در یک شرکتِ راه‌اندازی به نام «اد ونچر» (ad-venture.ir) مشغول به کار بوده یا هنوز هم هست.

هفتۀ پیش، ما یافته‌های خود را دراختیار جامعۀ تخصصیِ امنیت که مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (مرکز ماهر) نیز عضو آن است، گذاشتیم و انتظار داریم که اطلاعات کاملی از گردانندگان این حمله‌ها و انگیزۀ اصلی آن‌ها به دست بیاوریم.

 

PART I: Tracking Mobile Spyware during the Telegram blocking in Iran – Full forensics report: [PDF] (30 January 2018)

PART II: Fake Mobile App in Iran-When spyware and click froud can put millions of unaware users at risk (5 February 2018)